In Duitsland zijn nog altijd 25.000 Exchange-servers kwetsbaar voor aanvallen, zo meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Initieel stond de teller nog op 60.000 kwetsbare servers. Eerder liet het BSI al weten dat er een zeer grote kans is dat deze servers besmet zijn met malware.

Vanwege de situatie heeft de Duitse overheidsinstantie een crisisteam opgericht dat 24/7 aan het werk is. Vanmiddag komt het BSI met een livestream over de Exchange-kwetsbaarheden en zal organisaties daarin informatie en ondersteuning geven. Zo worden alle organisaties waarvan de Exchange-servers toegankelijk zijn vanaf het internet aangeraden om te controleren of hun servers zijn gecompromitteerd, ook al hebben ze de beveiligingsupdates geïnstalleerd.

Door de kwetsbaarheden in Exchange kan een aanvaller op afstand toegang tot kwetsbare servers krijgen en vervolgens malware installeren. Het gaat dan met name om webshells waarmee de aanvaller toegang tot de gecompromitteerde server kan krijgen en verdere aanvallen kan uitvoeren. Ook als organisaties de patches installeren blijven eerder geplaatste webshells gewoon aanwezig.

Volgens het BSI is het aantal Exchange-servers waarvan vaststaat dat ze zijn gecompromitteerd aan het stijgen. Antivirusbedrijf ESET maakte gisteren bekend dat zeker tien advanced persistent threat (APT)-groepen zich bezighouden met het aanvallen van Exchange-servers.